Conceder permissões à identidade gerida da área de trabalho
Este artigo ensina como conceder permissões para a identidade gerenciada no espaço de trabalho de sinapse do Azure. As permissões, por sua vez, permitem o acesso a pools SQL dedicados no espaço de trabalho e na conta de armazenamento ADLS Gen2 por meio do portal do Azure.
Nota
Essa identidade gerenciada do espaço de trabalho será chamada de identidade gerenciada no restante deste documento.
Conceda as permissões de identidade gerenciada à conta de armazenamento ADLS Gen2
Uma conta de armazenamento ADLS Gen2 é necessária para criar um espaço de trabalho do Azure Synapse. Para iniciar com êxito pools do Spark no espaço de trabalho do Azure Synapse, a identidade gerenciada do Azure Synapse precisa da função de Colaborador de Dados do Blob de Armazenamento nessa conta de armazenamento. A orquestração de pipeline no Azure Synapse também se beneficia dessa função.
Conceder permissões à identidade gerenciada durante a criação do espaço de trabalho
O Azure Synapse tentará conceder a função de Colaborador de Dados de Blob de Armazenamento à identidade gerenciada depois de criar o espaço de trabalho do Azure Synapse usando o portal do Azure. Você fornece os detalhes da conta de armazenamento ADLS Gen2 na guia Noções básicas .
Escolha a conta de armazenamento ADLS Gen2 e o sistema de arquivos em Nome da conta e Nome do sistema de arquivos.
Se o criador do espaço de trabalho também for Proprietário da conta de armazenamento ADLS Gen2, o Azure Synapse atribuirá a função de Colaborador de Dados de Blob de Armazenamento à identidade gerenciada. Você verá a seguinte mensagem abaixo dos detalhes da conta de armazenamento que inseriu.
Se o criador do espaço de trabalho não for o proprietário da conta de armazenamento ADLS Gen2, o Azure Synapse não atribuirá a função de Colaborador de Dados de Blob de Armazenamento à identidade gerenciada. A mensagem que aparece abaixo dos detalhes da conta de armazenamento notifica o criador do espaço de trabalho de que ele não tem permissões suficientes para conceder a função de Colaborador de Dados de Blob de Armazenamento à identidade gerenciada.
Como a mensagem afirma, você não pode criar pools do Spark a menos que o Colaborador de Dados de Blob de Armazenamento seja atribuído à identidade gerenciada.
Conceder permissões à identidade gerenciada após a criação do espaço de trabalho
Durante a criação do espaço de trabalho, se você não atribuir o contribuidor de Dados de Blob de Armazenamento à identidade gerenciada, o Proprietário da conta de armazenamento ADLS Gen2 atribuirá manualmente essa função à identidade. As etapas a seguir irão ajudá-lo a realizar a atribuição manual.
Etapa 1: Navegue até a conta de armazenamento do ADLS Gen2 no portal do Azure
No portal do Azure, abra a conta de armazenamento ADLS Gen2 e selecione Visão geral na navegação à esquerda. Você só precisará atribuir a função de Colaborador de Dados de Blob de Armazenamento no nível do contêiner ou do sistema de arquivos. Selecione Contêineres.
Etapa 2: Selecione o contêiner
A identidade gerenciada deve ter acesso aos dados do contêiner (sistema de arquivos) fornecido quando o espaço de trabalho foi criado. Você pode encontrar esse contêiner ou sistema de arquivos no portal do Azure. Abra o espaço de trabalho Azure Synapse no portal do Azure e selecione a guia Visão geral na navegação à esquerda.
Selecione esse mesmo contêiner ou sistema de arquivos para conceder a função de Colaborador de Dados de Blob de Armazenamento à identidade gerenciada.
Etapa 3: Abra o controle de acesso e adicione a atribuição de função
Selecione Controlo de acesso (IAM) .
Selecione Adicionar>Adicionar atribuição de funções para abrir o painel Adicionar atribuição de funções.
Atribua a seguinte função. Para obter os passos detalhados, veja o artigo Atribuir funções do Azure com o portal do Azure.
Definição Value Role Contribuidor de Dados de Blobs de Armazenamento Atribuir acesso a IDENTIDADE GERENCIADA Membros Nome da identidade gerenciada Nota
O nome da identidade gerenciada também é o nome do espaço de trabalho.
Selecione Salvar para adicionar a atribuição de função.
Etapa 4: Verificar se a função de Colaborador de Dados de Blob de Armazenamento está atribuída à identidade gerenciada
Selecione Controle de acesso (IAM) e, em seguida, selecione Atribuições de função.
Você verá sua identidade gerenciada listada na seção Colaborador de Dados de Blob de Armazenamento com a função de Colaborador de Dados de Blob de Armazenamento atribuída a ela.
Alternativa à função de Colaborador de Dados de Blob de Armazenamento
Em vez de conceder a si mesmo uma função de Colaborador de Dados de Blob de Armazenamento, você também pode conceder permissões mais granulares em um subconjunto de arquivos.
Todos os usuários que precisam acessar alguns dados neste contêiner também devem ter permissão EXECUTE em todas as pastas pai até a raiz (o contêiner).
Saiba mais sobre como definir ACLs no Azure Data Lake Storage Gen2.
Nota
A permissão de execução no nível do contêiner deve ser definida no Data Lake Storage Gen2. As permissões na pasta podem ser definidas no Azure Synapse.
Se você quiser consultar data2.csv neste exemplo, as seguintes permissões são necessárias:
- Executar permissão no contêiner
- Executar permissão na pasta1
- permissão de Ler sobre data2.csv
Entre no Azure Synapse com um usuário administrador que tenha permissões totais nos dados que você deseja acessar.
No painel de dados, clique com o botão direito do mouse no arquivo e selecione Gerenciar acesso.
Selecione pelo menos a permissão de leitura . Insira o UPN ou o ID do objeto do usuário, por exemplo, user@contoso.com. Selecione Adicionar.
Conceda permissão de leitura para este usuário.
Nota
Para usuários convidados, essa etapa precisa ser feita diretamente com o Azure Data Lake porque não pode ser feita diretamente por meio do Azure Synapse.
Próximos passos
Saiba mais sobre a identidade gerenciada do espaço de trabalho